Развертывание примера базовой схемы Azure Security Benchmark
Важно!
11 июля 2026 г. схемы (предварительная версия) будут объявлены нерекомендуемыми. Перенос существующих определений и назначений схем в спецификации шаблонов и стеки развертывания. Артефакты схемы необходимо преобразовать в шаблоны JSON ARM или файлы Bicep, используемые для определения стеков развертывания. Чтобы узнать, как создать артефакт в качестве ресурса ARM, см. следующие статьи:
Чтобы развернуть пример базовой схемы Azure Security Benchmark, выполните следующие действия:
- создание схемы на основе примера;
- установка метки копии образца Опубликовано;
- назначение копии схемы существующей подписке;
Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.
Создание схемы на основе примера
Для начала внедрите пример схемы, создав новую схему в среде на основе этого примера.
Выберите Все службы в левой области. Найдите и выберите пункт Схемы.
На странице Начало работы с левой стороны в разделе Создание схемы щелкните кнопку Создать.
Найдите пример базовой схемы Azure Security Benchmark в разделе Другие примеры и выберите Использовать этот пример.
Введите основные данные образца схемы.
- Имя схемы. Укажите имя для своей копии примера базовой схемы Azure Security Benchmark.
- Расположение определения. Используйте кнопку с многоточием и выберите группу управления, в которой нужно сохранить копию примера.
В верхней части страницы выберите вкладку Артефакты или внизу страницы щелкните Далее: Артефакты.
Просмотрите список артефактов, из которых состоит образец схемы. Многие артефакты имеют параметры, которые мы определим позднее. После завершения просмотра образца схемы выберите Сохранить черновик.
Публикации копии образца
Теперь в вашей среде создана копия образца схемы. Она создана в режиме Черновик, и прежде чем назначить и развернуть эту копию, ее необходимо опубликовать. Вы можете изменить параметры своей копии этого примера схемы с учетом среды и требований, но такие изменения могут нарушить соответствие типу базовой схемы Azure Security Benchmark.
Выберите Все службы в левой области. Найдите и выберите пункт Схемы.
В меню слева выберите страницу Определения схем. Примените фильтры, чтобы найти копию примера схемы, и выберите его.
В верхней части страницы выберите Опубликовать схему. В правой части новой страницы укажите версию для копии примера схемы. Это свойство позволяет вносить изменения позднее. Укажите заметки об изменениях, например «Первая версия, опубликованная из образца схемы Azure Security Benchmark Foundation». Затем в нижней части страницы выберите Опубликовать.
Назначение копии образца
После успешной публикации копию образца схемы можно назначить подписке в группе управления, в которой ее сохранили. На этом шаге указывают параметры, которые позволяют сделать каждое развертывание образца схемы уникальным.
Выберите Все службы в левой области. Найдите и выберите пункт Схемы.
В меню слева выберите страницу Определения схем. Примените фильтры, чтобы найти копию примера схемы, и выберите его.
В верхней части страницы определения схемы выберите Назначить схему.
Укажите значения параметра для назначения схемы.
Основы
- Подписки. Выберите одну или несколько подписок, которые находятся в группе управления, в которой вы сохранили копию образца схемы. Если вы выберите более одной подписки, для каждой из них будет создано назначение с использованием введенных параметров.
- Имя назначения. Имя автоматически заполняется на основе имени схемы. Измените его при желании или сохраните вариант по умолчанию.
- Расположение. Выберите регион, в котором будет создано управляемое удостоверение.
- Azure Blueprints использует это управляемое удостоверение для развертывания всех артефактов в назначенной схеме. Дополнительные сведения см. в статье Управляемые удостоверения для ресурсов Azure.
- Версия определения схемы. Выберите опубликованную версию копии примера схемы.
Блокировка назначения
Выберите режим блокировки для схемы с учетом своей среды. Дополнительные сведения см. в разделе Блокировка ресурсов схем.
Управляемое удостоверение
Выберите вариант удостоверения по умолчанию (управляемое удостоверение, назначаемое системой,) или удостоверение, назначаемое пользователем.
Параметры схемы
Параметры, определенные в этом разделе, используются многими артефактами из определения схемы. Это сделано для обеспечения согласованности.
- Префикс для ресурсов и групп ресурсов — эта строка используется в качестве префикса для всех имен ресурсов и групп ресурсов.
- Имя центра — имя для центра.
- Хранение журнала (в днях) — количество дней, в течение которых хранятся журналы; при значении "0" журналы хранятся бессрочно.
- Развернуть центр — введите true или false, чтобы указать, будут ли с помощью назначения развертываться компоненты центра архитектуры.
- Расположение центра — расположение группы ресурсов центра.
- IP-адреса назначения — IP-адреса назначения для исходящих подключений. Это разделенный запятыми список IP-адресов или префиксов IP-диапазона.
- Имя Наблюдателя за сетями — имя для ресурса Наблюдателя за сетями.
- Имя группы ресурсов Наблюдателя за сетями — имя для группы ресурсов Наблюдателя за сетями.
- Включить защиту от атак DDoS — введите true или false, чтобы указать, включена ли защита от атак DDoS в виртуальной сети.
Примечание
Если Наблюдатель за сетями уже включен, рекомендуется использовать существующую группу ресурсов Наблюдателя за сетями. Вам также необходимо указать расположение существующей группы ресурсов Наблюдателя за сетями для параметра артефакта Расположение группы ресурсов Наблюдателя за сетями.
Параметры артефакта
Параметры, определенные в этом разделе, применяются к артефакту, под которым они определены. Поскольку эти параметры определяются во время назначения схемы, они являются динамическими. Полный список параметров артефактов с описаниями можно найти в таблице параметров артефактов.
После ввода всех параметров в нижней части страницы выберите Назначить. Это действие создает назначение схемы и начинает развертывание артефактов. Развертывание занимает около часа. Чтобы проверить состояние развертывания, откройте назначение схемы.
Предупреждение
Служба Azure Blueprints и встроенные примеры схем предоставляются бесплатно. Ресурсы Azure оплачиваются согласно тарифам на продукты. С помощью калькулятора цен вы можете оценить расходы на выполнение ресурсов, развертываемых этим примером схемы.
Таблица параметров артефактов
Следующая таблица содержит полный список параметров схемы:
| Имя артефакта | Тип артефакта | Имя параметра | Описание |
|---|---|---|---|
| Группа ресурсов центра | Группа ресурсов | Имя группы ресурсов | Заблокировано — добавляет префикс к имени центра |
| Группа ресурсов центра | Группа ресурсов | Расположение группы ресурсов | Заблокировано, используется расположение центра |
| Шаблон Брандмауэра Azure | Шаблон Resource Manager | Частный IP-адрес Брандмауэра Azure | |
| Шаблон Azure Log Analytics и Диагностики Azure | Шаблон Resource Manager | Расположение рабочей области Log Analytics | Расположение, в котором создана рабочая область Log Analytics. Выполните Get-AzLocation | Where-Object Providers -like 'Microsoft.OperationalInsights' | Select DisplayName в Azure PowersShell, чтобы просмотреть доступные регионы |
| Шаблон Azure Log Analytics и Диагностики Azure | Шаблон Resource Manager | Идентификатор учетной записи службы автоматизации Azure (необязательно) | Идентификатор ресурса учетной записи службы автоматизации. Используется для создания связанной службы между Log Analytics и учетной записью службы автоматизации |
| Шаблон группы безопасности сети Azure | Шаблон Resource Manager | Включить журналы потоков NSG | Введите true или false, чтобы включить или отключить журналы потоков NSG |
| Шаблон центра виртуальной сети Azure | Шаблон Resource Manager | Префикс адреса виртуальной сети | Префикс адреса виртуальной сети для виртуальной сети центра |
| Шаблон центра виртуальной сети Azure | Шаблон Resource Manager | Префикс адреса подсети брандмауэра | Префикс адреса подсети брандмауэра для виртуальной сети центра |
| Шаблон центра виртуальной сети Azure | Шаблон Resource Manager | Префикс адреса подсети Бастиона | Префикс адреса подсети Бастиона для виртуальной сети центра |
| Шаблон центра виртуальной сети Azure | Шаблон Resource Manager | Префикс адреса подсети шлюза | Префикс адреса подсети шлюза для виртуальной сети центра |
| Шаблон центра виртуальной сети Azure | Шаблон Resource Manager | Префикс адреса подсети управления | Префикс адреса подсети управления для виртуальной сети центра |
| Шаблон центра виртуальной сети Azure | Шаблон Resource Manager | Префикс адреса подсети переходной среды | Префикс адреса подсети переходной среды для виртуальной сети центра |
| Шаблон центра виртуальной сети Azure | Шаблон Resource Manager | Имена адресов подсети (необязательно) | Массив имен подсетей для развертывания в виртуальной сети центра (например, subnet1, subnet2) |
| Шаблон центра виртуальной сети Azure | Шаблон Resource Manager | Префиксы адресов подсети (необязательно) | Массив префиксов IP-адресов для дополнительных подсетей виртуальной сети центра (например, 10.0.7.0/24, 10.0.8.0/24) |
| Группа ресурсов периферийной сети | Группа ресурсов | Имя группы ресурсов | Заблокировано, добавляет префикс к имени периферийной сети |
| Группа ресурсов периферийной сети | Группа ресурсов | Расположение группы ресурсов | Заблокировано, используется расположение центра |
| Шаблон периферийной виртуальной сети Azure | Шаблон Resource Manager | Развертывание периферийной сети | Введите true или false, чтобы указать, будут ли с помощью назначения развертываться компоненты периферийной сети архитектуры |
| Шаблон периферийной виртуальной сети Azure | Шаблон Resource Manager | Идентификатор подписки центра | Идентификатор подписки, в которой развернут центр. Значение по умолчанию — это подписка, в которой располагается определение схемы. |
| Шаблон периферийной виртуальной сети Azure | Шаблон Resource Manager | Имя периферийной сети | Имя, назначенное периферийной сети |
| Шаблон периферийной виртуальной сети Azure | Шаблон Resource Manager | Префикс адреса виртуальной сети | Префикс адреса виртуальной сети для виртуальной периферийной сети |
| Шаблон периферийной виртуальной сети Azure | Шаблон Resource Manager | Префикс адреса подсети | Префикс адреса подсети для виртуальной периферийной сети |
| Шаблон периферийной виртуальной сети Azure | Шаблон Resource Manager | Имена адресов подсети (необязательно) | Массив имен подсетей для развертывания в виртуальной периферийной сети (например, subnet1, subnet2) |
| Шаблон периферийной виртуальной сети Azure | Шаблон Resource Manager | Префиксы адресов подсети (необязательно) | Массив префиксов IP-адресов для дополнительных подсетей виртуальной периферийной сети (например, 10.0.7.0/24, 10.0.8.0/24) |
| Шаблон периферийной виртуальной сети Azure | Шаблон Resource Manager | Развертывание периферийной сети | Введите true или false, чтобы указать, будут ли с помощью назначения развертываться компоненты периферийной сети архитектуры |
| Шаблон Наблюдателя за сетями Azure | Шаблон Resource Manager | Расположение Наблюдателя за сетями | Расположение для ресурса Наблюдателя за сетями |
| Шаблон Наблюдателя за сетями Azure | Шаблон Resource Manager | Расположение группы ресурсов Наблюдателя за сетями | Если Наблюдатель за сетями уже включен, значение этого параметра должно совпадать с расположением существующей группы ресурсов Наблюдателя за сетями. |
Устранение неполадок
Если возникла ошибка The resource group 'NetworkWatcherRG' failed to deploy due to the following error: Invalid resource group location '{location}'. The Resource group already exists in location '{location}'., убедитесь, что для параметра схемы Имя группы ресурсов Наблюдателя за сетями указано имя существующей группы ресурсов Наблюдателя за сетями, а для параметра артефакта Расположение группы ресурсов Наблюдателя за сетями указано существующее расположение группы ресурсов Наблюдателя за сетями.
Дальнейшие действия
Теперь, когда вы ознакомились с инструкциями по развертыванию примера базовой схемы Azure Security Benchmark, перейдите к следующей статье, чтобы получить сведения об архитектуре:
Дополнительные статьи о схемах и способах их использования:
- Ознакомьтесь со сведениями о жизненном цикле схем.
- Узнайте, как использовать статические и динамические параметры.
- Научитесь настраивать последовательность схемы.
- Узнайте, как применять блокировку ресурсов схемы.
- Узнайте, как обновлять существующие назначения.